Обнаружена новая вредоносная программа для похищения информации под названием ZingoStealer с мощными функциями кражи данных, загрузки эксплойтов или добычи Monero.
Новая вредоносная программа - плод коллективного труда хакерской группировки под названием "Haskers Gang" ("Банда Хаскера"). Исходный код ZingoStealer злоумышленники предлагали в даркнете всего за 500 долларов .
Вскоре после того, как исследователи из Cisco Talos заметили это предложение, ZingoStealer сменил владельца и был передан новому субъекту угроз, который скорее всего займется его дальнейшей разработкой.
Учитывая, что противники предлагают инфо-кражу бесплатно на своих каналах Telegram и Discord, и учитывая растущий спрос на этот тип вредоносного ПО, его распространение может выйти на новый уровень.
Агрессивная вредоносная программа ZingoStealer впервые появилась в киберпреступном сообществе в марте 2022 года, рекламируемая в русскоязычных каналах как "готовый к использованию" мощный похититель информации в виде исполняемого файла .NET.
Всего за 300 рублей, что по сегодняшним ценам составляет примерно $3,64, пользователи также могли приобрести предварительно собранный вариант, в котором была предусмотрена обфускация криптера (через ExoCrypt) для повышения устойчивости к обнаружению антивирусными программами.
Пока что ZingoStealer заражает компьютеры через взломы программного обеспечения и читы для видеоигр, рекламируемые на YouTube, но вектор заражения может измениться в любой момент.
С точки зрения похищения информации, это мощная вредоносная программа, нацеленная на следующие приложения и точки данных:
- Веб-браузеры: Google Chrome, Mozilla Firefox, Opera, Opera GSX
- Расширения криптовалютных кошельков: TronLink, Nifty Wallet, MetaMask, MathWallet, Coinbase Wallet, Binance Wallet, Brave Wallet, Guarda, EQUAL Wallet, BitApp Wallet, iWallet, Wombat - Gaming Wallet
- Данные криптовалютных кошельков: Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi
- Криптовалютные кошельки: Bitcoin, Dash, Litecoin
- Информация о компьютере: IP-адрес, имя компьютера, имя пользователя, версия ОС, информация о локализации, информация о процессоре, системная память, разрешение экрана, время запуска
Вся украденная информация сохраняется в папке "C:\Users\AppData\Local\GinzoFolder", архивируется и пересылается на сервер оператора.
Хотя список целей может показаться обширным, он меркнет по сравнению с программами, на которые нацелены другие, более известные похитители информации, в частности, RedLine Stealer.
Объяснение столь большого различия в наборе функции двух ПО простое - ZingoStealer первый этап, и его задача облегчить разворачивание на устройстве жертвы RedLine Stealer, который, по сути, является наиболее часто используемой полезной нагрузкой второго этапа.
ZingoStealer выполняет проверку геолокации, чтобы убедиться, что жертва не находится в странах СНГ, поскольку они в основном используются русскоязычными субъектами, а затем запрашивает список URL-адресов для получения и выполнения дополнительных полезных нагрузок.
В дополнение к вышеперечисленному, ZingoStealer также содержит вредоносное ПО для майнинга криптовалюты XMRig, позволяющее использовать компьютер жертвы для получения прямой финансовой прибыли.
Эта функция была добавлена в недавнем выпуске и использует PowerShell для добавления необходимых исключений в Windows Defender и запуска майнера.
Будущее ZingoStealer
ZingoStealer - новое ПО, и его будущее неопределенно и изменчиво, но тот факт, что хакеры могут получить его практически бесплатно и использовать его в своих злодейских целях без ограничений, делает эту "малварь" кандидатом на то, чтобы стать самой распространенной угрозой.
Конкуренция в этой области сейчас очень жесткая, поскольку в последнее время пространство вредоносных программ, похищающих информацию, стало довольно тесным, но если новые владельцы докажут свою способность, ZingoStealer продолжит свое развитие.
Учитывая его возможности загрузки вредоносных программ и пользовательский криптер, придающий ему скрытность, будет неудивительно увидеть, как ZingoStealer из простой программы-похитителя превратиться в специализированный загрузчик.
Что касается защиты от него, то лучше всего избегать заражения, не скачивая крэки программ и игровые читы с сомнительных сайтов.
